JP2012220286A - Vehicle control apparatus - Google Patents

Vehicle control apparatus Download PDF

Info

Publication number
JP2012220286A
JP2012220286A JP2011084844A JP2011084844A JP2012220286A JP 2012220286 A JP2012220286 A JP 2012220286A JP 2011084844 A JP2011084844 A JP 2011084844A JP 2011084844 A JP2011084844 A JP 2011084844A JP 2012220286 A JP2012220286 A JP 2012220286A
Authority
JP
Japan
Prior art keywords
vehicle
abnormality
fail
control
service center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2011084844A
Other languages
Japanese (ja)
Inventor
Makoto Tsuboi
誠 坪井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2011084844A priority Critical patent/JP2012220286A/en
Publication of JP2012220286A publication Critical patent/JP2012220286A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Alarm Systems (AREA)
  • Navigation (AREA)
  • Auxiliary Drives, Propulsion Controls, And Safety Devices (AREA)

Abstract

PROBLEM TO BE SOLVED: To set appropriate fail safe control with respect to abnormality in a vehicle.SOLUTION: When any abnormality is detected by a diagnosis function of a vehicle 10 or a notification switch 19 is operated by a user, the vehicle 10 notifies the occurrence of the abnormality and a position of the vehicle 10 to a service center 40. The service center 40 records therein fail safe control and instructions to users in association with classes of abnormality and positions of vehicles. On the basis of a class of the abnormality transmitted from the vehicle 10 and the position of the vehicle 10, a control device 42 of the service center 40 searches for fail safe control and an instruction suitable therefor. The fail safe control and the instruction are transmitted from the service center 40 to the vehicle 10 and executed by devices 11-19 in the vehicle 10. Thus, appropriate fail safe control corresponding to the position of the vehicle 10 is provided and the suitable instruction is given to the user.

Description

本発明は、車両の異常時にフェイルセーフを図る車両用制御装置に関する。   The present invention relates to a vehicle control device that achieves fail-safe when a vehicle is abnormal.

従来、車両に異常が発生した場合にフェイルセーフを図る制御装置が知られている。例えば、特許文献1に記載の装置は、車両の異常を検出した際に燃料カット制御を実行し、車両を強制的に停止させている。このように、車両に異常が発生した場合に、車両がより安全な状態になるように、車両に搭載された制御装置がフェイルセーフ制御を実行する装置が知られている。   2. Description of the Related Art Conventionally, there has been known a control device that performs fail-safe when an abnormality occurs in a vehicle. For example, the device described in Patent Document 1 performs fuel cut control when a vehicle abnormality is detected, and forcibly stops the vehicle. As described above, there is known a device in which a control device mounted on a vehicle executes fail-safe control so that the vehicle becomes safer when an abnormality occurs in the vehicle.

また、特許文献2に記載の装置は、車両の異常が検出された場合に、インターネットを通じてサービスセンタに情報を送信し、サービスセンタから車両の使用者に適切な処置方法を指示している。   The device described in Patent Document 2 transmits information to the service center via the Internet when an abnormality of the vehicle is detected, and instructs the vehicle user from the service center on an appropriate treatment method.

特開平4−189629号公報JP-A-4-189629 特開2002−123881号公報JP 2002-123881 A

特許文献1の技術では、車両の異常が検出された時のフェイルセーフ制御は車両内に搭載された制御装置があらかじめ組み込まれた制御を実行することにより、車両を安全側に制御している。そこでは、車両が故障した時に最も安全と思われる代表的な車両状態となるようにフェイルセーフ制御が設定されている。例えば、エンジン停止、エンジン回転数制限等である。   In the technique of Patent Document 1, the fail-safe control when a vehicle abnormality is detected controls the vehicle to the safe side by executing control in which a control device mounted in the vehicle is incorporated in advance. There, fail-safe control is set so that a representative vehicle state that is considered to be safest when the vehicle breaks down is obtained. For example, engine stop, engine speed limit, etc.

また、特許文献2の技術では、車両の故障情報に応じた処置方法がサービスセンタから使用者に指示される。しかし、この技術においても、車両が故障した時に最も安全と思われる代表的な車両状態となるようにフェイルセーフ制御が設定されている。   In the technique of Patent Document 2, a service center is instructed to the user from the service center according to the vehicle failure information. However, even in this technique, fail-safe control is set so that a representative vehicle state that is considered to be safest when the vehicle breaks down is obtained.

このように、従来技術では、高速道路、踏切、市街地、郊外、坂道といった車両の走行位置に応じた適切なフェイルセーフ制御を設定することができない。   Thus, in the prior art, it is not possible to set appropriate fail-safe control according to the travel position of the vehicle such as a highway, a railroad crossing, an urban area, a suburb, and a slope.

また、従来技術では、車両の使用者による誤操作がある場合には、機器は正常に機能しているため、異常を検出することができない。このため、誤操作のような特殊な操作状態の下では、そのような操作状態に応じた適切なフェイルセーフ制御を設定することができない。   Further, in the prior art, when there is an erroneous operation by the user of the vehicle, the device is functioning normally and an abnormality cannot be detected. For this reason, under a special operation state such as an erroneous operation, it is not possible to set an appropriate fail-safe control corresponding to such an operation state.

本発明は上記問題点に鑑みてなされたものであり、その目的は、車両の異常に際して、適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a vehicle control device capable of setting appropriate fail-safe control when a vehicle abnormality occurs.

本発明の他の目的は、車両の走行位置に応じて適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。   Another object of the present invention is to provide a vehicle control device capable of setting appropriate fail-safe control in accordance with the travel position of the vehicle.

本発明のさらに他の目的は、車両の使用者による誤操作の下においても、適切なフェイルセーフ制御を設定することができる車両用制御装置を提供することである。   Still another object of the present invention is to provide a vehicle control device capable of setting appropriate fail-safe control even under erroneous operation by a vehicle user.

本発明のさらに他の目的は、車両の使用者による誤操作も含めた車両の異常に際して、フェイルセーフ制御によって車両を遠隔的に制御することを可能とするとともに、そのような遠隔的な制御における高い信頼性を提供することができる車両用制御装置を提供することである。   Still another object of the present invention is to enable remote control of a vehicle by fail-safe control in the event of a vehicle abnormality including an erroneous operation by a user of the vehicle, and a high level in such remote control. It is providing the vehicle control apparatus which can provide reliability.

本発明は上記目的を達成するために以下の技術的手段を採用する。   The present invention employs the following technical means to achieve the above object.

請求項1に記載の発明は、車両における異常の種別および車両の状態に基づいて、車両の状態に応じて異なるフェイルセーフ制御と車両の使用者に対する指示とを設定する設定手段(161−170、181−187)と、車両においてフェイルセーフ制御を実行する実行手段(171)と、指示を使用者に通知する通知手段(171)とを備えることを特徴とする。   According to the first aspect of the present invention, there is provided setting means (161-170, which sets different fail-safe control depending on the state of the vehicle and instructions for the vehicle user based on the type of abnormality in the vehicle and the state of the vehicle. 181-187), execution means (171) for executing fail-safe control in the vehicle, and notification means (171) for notifying the user of an instruction.

この構成によると、車両における異常に対策するためのフェイルセーフ制御が設定される。しかも、そのフェイルセーフ制御は、車両の状態に応じて異なるものが設定される。そして、このフェイルセーフ制御が車両において実行される。このため、車両の状態に応じた適切なフェイルセーフ制御を提供することができる。また、車両における異常に対策するための車両の使用者に対する指示が設定される。しかも、この指示は、車両の状態に応じて異なるものが設定される。そして、この指示が車両において使用者に通知される。このため、車両の状態に応じた適切な指示を使用者に与えることができる。   According to this configuration, fail-safe control for taking measures against an abnormality in the vehicle is set. Moreover, the fail-safe control is set differently depending on the state of the vehicle. And this fail safe control is performed in a vehicle. For this reason, appropriate fail-safe control according to the state of the vehicle can be provided. In addition, an instruction for the user of the vehicle to take measures against an abnormality in the vehicle is set. Moreover, different instructions are set according to the state of the vehicle. Then, this instruction is notified to the user in the vehicle. For this reason, an appropriate instruction according to the state of the vehicle can be given to the user.

請求項2に記載の発明は、車両の状態には、車両の位置が含まれていることを特徴とする。この構成によると、フェイルセーフ制御は、車両の位置に応じて異なるものが設定される。このため、車両の位置に応じた適切なフェイルセーフ制御を提供することができる。また、指示は、車両の位置に応じて異なるものが設定される。このため、車両の位置に応じた適切な指示を使用者に与えることができる。   The invention according to claim 2 is characterized in that the state of the vehicle includes the position of the vehicle. According to this configuration, different fail-safe controls are set according to the position of the vehicle. For this reason, appropriate fail-safe control according to the position of the vehicle can be provided. Different instructions are set according to the position of the vehicle. For this reason, an appropriate instruction according to the position of the vehicle can be given to the user.

請求項3に記載の発明は、車両は、車両の位置を示すデータを提供するナビゲーション装置(16)を備えることを特徴とする。この構成によると、車両に搭載されたナビゲーション装置によって車両の位置を示すデータを提供することができる。   The invention described in claim 3 is characterized in that the vehicle includes a navigation device (16) for providing data indicating the position of the vehicle. According to this structure, the data which shows the position of a vehicle can be provided by the navigation apparatus mounted in the vehicle.

請求項4に記載の発明は、設定手段(161−170、181−187)は、車両に設けられ、車両の異常を検出する異常検出手段(162−164)と、車両に設けられ、車両の状態を検出する状態検出手段(161)と、車両に設けられ、異常の種別と、車両の状態とを送信する異常送信手段(165、169)と、車両と通信回線を介して接続されたサービスセンタに設けられ、異常の種別と、車両の状態とを受信する異常受信手段(181、185)と、サービスセンタに設けられ、複数の異常の種別と、複数の車両の状態とに関連付けて、複数のフェイルセーフ制御と、複数の指示とを記録したデータベース(44)と、異常受信手段によって受信された異常の種別と車両の状態とに基づいて、データベースを検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段(186)と、抽出手段により抽出されたフェイルセーフ制御と指示とを車両に送信する制御送信手段(187)と、車両に設けられ、フェイルセーフ制御と指示とを受信する制御受信手段(170)とを備えることを特徴とする。この構成によると、車両と、サービスセンタとによって設定手段を提供することができる。   According to a fourth aspect of the present invention, the setting means (161-170, 181-187) is provided in the vehicle, the abnormality detection means (162-164) for detecting an abnormality of the vehicle, the vehicle is provided in the vehicle, State detection means (161) for detecting the state, abnormality transmission means (165, 169) provided on the vehicle for transmitting the type of abnormality and the state of the vehicle, and a service connected to the vehicle via a communication line An abnormality receiving means (181, 185) that is provided in the center and receives the type of abnormality and the state of the vehicle, and provided in the service center, in association with a plurality of types of abnormality and a plurality of vehicle states, Based on the database (44) in which a plurality of fail-safe controls and a plurality of instructions are recorded, the type of abnormality received by the abnormality receiving means, and the state of the vehicle, the database is searched for a specific failure. Extraction means (186) for extracting the safety safe control and the specific instruction, control transmission means (187) for transmitting the fail safe control and the instruction extracted by the extraction means to the vehicle, and fail safe control provided in the vehicle. And a control receiving means (170) for receiving the instruction. According to this configuration, the setting means can be provided by the vehicle and the service center.

請求項5に記載の発明は、実行手段は、車両の整備作業のために予め用意された制御コマンドによってフェイルセーフ制御を実行することを特徴とする。この構成によると、車両の整備作業のために予め用意された制御コマンドを利用してフェイルセーフ制御を実行することができる。このため、既存の装置、および既存のソフトウエアを流用して実行手段を提供することができる。   The invention according to claim 5 is characterized in that the execution means executes fail-safe control by a control command prepared in advance for a vehicle maintenance work. According to this configuration, fail-safe control can be executed using a control command prepared in advance for vehicle maintenance work. For this reason, it is possible to provide execution means by diverting existing devices and existing software.

請求項6に記載の発明は、異常検出手段は、車両の整備作業のために予め用意された診断コマンドによって車両の異常を検出することを特徴とする。この構成によると、車両の整備作業のために予め用意された診断コマンドを利用して車両の異常を検出することができる。このため、既存の装置、および既存のソフトウエアを流用して異常検出手段を提供することができる。   The invention according to claim 6 is characterized in that the abnormality detecting means detects an abnormality of the vehicle by a diagnostic command prepared in advance for the maintenance work of the vehicle. According to this configuration, it is possible to detect a vehicle abnormality using a diagnostic command prepared in advance for vehicle maintenance work. For this reason, an abnormality detection means can be provided by diverting an existing apparatus and existing software.

請求項7に記載の発明は、異常検出手段は、車両の使用者からの要請を入力する入力手段(17、19)を備えることを特徴とする。この構成によると、車両の使用者が車両の異常を感知した場合にも、フェイルセーフ制御を設定することができる。このため、車両の異常が使用者の誤操作に起因しており、車載の機器には異常が生じていない場合でも、フェイルセーフ制御を設定することができる。入力手段は、異常を感知した使用者が操作する通報スイッチ、または、異常を感知した使用者が通報を要請する音声入力装置などのインターフェース装置によって提供することができる。   The invention according to claim 7 is characterized in that the abnormality detection means includes input means (17, 19) for inputting a request from a vehicle user. According to this configuration, the fail safe control can be set even when the vehicle user senses an abnormality of the vehicle. For this reason, even when the abnormality of the vehicle is caused by the user's erroneous operation and no abnormality occurs in the in-vehicle device, the fail safe control can be set. The input means can be provided by an interface device such as a notification switch operated by a user who has detected an abnormality or a voice input device from which a user who has detected an abnormality requests a notification.

請求項8に記載の発明は、状態検出手段は、車両に設けられたLANに流れるデータから車両の状態を取得することを特徴とする。この構成によると、車載のLAN上のデータから車両の状態を取得することができる。このため、既存の装置、および既存のソフトウエアを流用して状態検出手段を提供することができる。   The invention according to claim 8 is characterized in that the state detection means acquires the state of the vehicle from data flowing in a LAN provided in the vehicle. According to this configuration, the state of the vehicle can be acquired from data on the in-vehicle LAN. For this reason, a state detection means can be provided by diverting an existing apparatus and existing software.

請求項9に記載の発明は、さらに、サービスセンタに設けられ、車両が正規の車両であることを判定する車両判定手段(182−183)と、車両に設けられ、サービスセンタが正規のサービスセンタであることを判定するサービスセンタ判定手段(167、168)とを備え、正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、実行手段と通知手段とが機能することを特徴とする。この構成によると、不正なアクセスによるサービスセンタの利用、および不正なアクセスによるフェイルセーフ制御の実行を回避することができる。   The invention according to claim 9 is further provided in the service center, and vehicle determining means (182-183) for determining that the vehicle is a legitimate vehicle, and provided in the vehicle, wherein the service center is the legitimate service center. Service center determination means (167, 168) for determining whether the vehicle is a regular vehicle and only when it is determined that the vehicle is a regular service center, Is functional. According to this configuration, use of the service center due to unauthorized access and execution of failsafe control due to unauthorized access can be avoided.

請求項10に記載の発明は、車両判定手段(182−183)とサービスセンタ判定手段(167、168)とは、車両に搭載された盗難防止装置(12)が提供する認証機能によって提供されていることを特徴とする。この構成によると、車載の盗難防止装置が提供する認証機能によって不正なアクセスを阻止することができる。このため、既存の装置、および既存のソフトウエアを流用して車両判定手段とサービスセンタ判定手段とを提供することができる。   According to the tenth aspect of the present invention, the vehicle determination means (182-183) and the service center determination means (167, 168) are provided by an authentication function provided by the anti-theft device (12) mounted on the vehicle. It is characterized by being. According to this configuration, unauthorized access can be blocked by the authentication function provided by the in-vehicle antitheft device. For this reason, it is possible to provide the vehicle determination means and the service center determination means by diverting existing devices and existing software.

請求項11に記載の発明は、さらに、車両の異常が検出されないとき、フェイルセーフ制御による車両に搭載された機器の駆動を制限する制限手段を備え、実行手段は、制限手段による制限を解除して、フェイルセーフ制御を実行することを特徴とする。この構成によると、車両の異常が検出されないとき、すなわち正常時には、車載機器は、フェイルセーフ制御による特殊な動作をしないように、その駆動が制限手段によって制限される。実行手段は、車両の異常時には、その異常状態から脱出するために、またはその異常状態を緩和するために、制限手段による制限を敢えて解除して、車載機器をフェイルセーフ制御によって駆動する。   The invention according to claim 11 further includes a restricting means for restricting driving of the device mounted on the vehicle by fail-safe control when no abnormality of the vehicle is detected, and the executing means releases the restriction by the restricting means. And performing fail-safe control. According to this configuration, when an abnormality of the vehicle is not detected, that is, in a normal state, driving of the in-vehicle device is limited by the limiting unit so as not to perform a special operation by fail-safe control. When the vehicle is abnormal, the execution means deliberately releases the restriction by the restriction means in order to escape from the abnormal state or to alleviate the abnormal state, and drives the in-vehicle device by fail-safe control.

なお、特許請求の範囲および上記手段の項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。   Note that the reference numerals in parentheses described in the claims and the above-described means indicate the correspondence with the specific means described in the embodiments described later as one aspect, and are technical terms of the present invention. It does not limit the range.

本発明を適用した第1実施形態に係る車両用制御装置を示すブロック図である。It is a block diagram showing a control device for vehicles concerning a 1st embodiment to which the present invention is applied. 第1実施形態の作動を示すフローチャートである。It is a flowchart which shows the action | operation of 1st Embodiment.

以下に、図面を参照しながら本発明を実施するための複数の形態を説明する。各形態において先行する形態で説明した事項に対応する部分には同一の参照符号を付して重複する説明を省略する場合がある。各形態において構成の一部のみを説明している場合は、構成の他の部分については先行して説明した他の形態を適用することができる。各実施形態で具体的に組合せが可能であることを明示している部分同士の組合せばかりではなく、特に組合せに支障が生じなければ、明示してなくとも実施形態同士を部分的に組み合せることも可能である。   A plurality of modes for carrying out the present invention will be described below with reference to the drawings. In each embodiment, parts corresponding to the matters described in the preceding embodiment may be denoted by the same reference numerals, and redundant description may be omitted. When only a part of the configuration is described in each mode, the other modes described above can be applied to the other parts of the configuration. Not only combinations of parts that clearly show that combinations are possible in each embodiment, but also combinations of the embodiments even if they are not explicitly stated unless there is a problem with the combination. Is also possible.

(第1実施形態)
図1は、本発明を適用した第1実施形態に係る車両用の遠隔操作システムを構成する車両用制御装置1を示すブロック図である。 (First embodiment)
FIG. 1 is a block diagram showing a vehicular control apparatus 1 constituting a vehicular remote control system according to a first embodiment to which the present invention is applied.

車両用制御装置1は、車両10に搭載された電子制御装置(ECU:Electronic Control Unit)と、地上に定置されたサービスセンタ40に設置された制御装置とによって構築されている。車載の制御装置とサービスセンタの制御装置とは、広域ネットワーク30などの通信手段によって互いに通信可能に接続され、一体的な車両用制御装置1を構築している。   The vehicle control device 1 is constructed by an electronic control unit (ECU: Electronic Control Unit) mounted on the vehicle 10 and a control device installed in a service center 40 placed on the ground. The vehicle-mounted control device and the service center control device are communicably connected to each other by communication means such as the wide area network 30 to construct an integrated vehicle control device 1.

車両用制御装置1は、車両10に搭載された車載機器11−19を備える。車両10は、エンジンのみを動力源とする車両、モータのみを動力源とする車両、またはモータとエンジンとを動力源とする車両である。   The vehicle control device 1 includes an in-vehicle device 11-19 mounted on the vehicle 10. The vehicle 10 is a vehicle using only an engine as a power source, a vehicle using only a motor as a power source, or a vehicle using a motor and an engine as power sources.

車両10は、車載のLAN11を備える。複数の車載機器12−19は、LAN11を介して、互いにデータ通信可能に構成されている。LAN11は、例えば、LIN(LocalInterconnect Network)、またはCAN(Controller Area Network)と呼ばれるネットワークによって提供することができる。   The vehicle 10 includes a vehicle-mounted LAN 11. The plurality of in-vehicle devices 12-19 are configured to be capable of data communication with each other via the LAN 11. The LAN 11 can be provided by a network called LIN (Local Interconnect Network) or CAN (Controller Area Network), for example.

車両10は、盗難防止ECU12を備える。盗難防止ECU12は、車両10と関連付けられたカギ、ICカードなどの携帯可能な記憶装置に記憶された暗号化された識別信号(IDともいう)に基づいて、車両10の使用可否を判断する。この盗難防止ECU12は、識別信号に基づく認証が成立の場合に、車両10を使用可能な状態におく。この盗難防止ECU12は、識別信号に基づく認証が不成立の場合に、車両を走行不能な状態におく。よって、盗難防止ECU12は、いわゆるイモビライザとしても機能する。盗難防止ECU12は、イモビライザとしての高度な暗号化機能、認証機能を有している。また、盗難防止ECU12は、車両を不正に移動させようとする行為を検出すると、警報音の出力などの盗難対策処理を実行する警報装置としても機能する。   The vehicle 10 includes an anti-theft ECU 12. The anti-theft ECU 12 determines whether or not the vehicle 10 can be used based on an encrypted identification signal (also referred to as ID) stored in a portable storage device such as a key or IC card associated with the vehicle 10. The anti-theft ECU 12 keeps the vehicle 10 usable when authentication based on the identification signal is established. This anti-theft ECU 12 puts the vehicle in a state where it cannot travel when authentication based on the identification signal is not established. Therefore, the anti-theft ECU 12 also functions as a so-called immobilizer. The anti-theft ECU 12 has an advanced encryption function and authentication function as an immobilizer. The anti-theft ECU 12 also functions as an alarm device that executes anti-theft countermeasure processing such as outputting an alarm sound when detecting an act of illegally moving the vehicle.

車両10は、フェイルセーフ制御の対象となる複数の機器13−15を備える。フェイルセーフ制御の対象となる機器には、車両10の走行に関連する機器が含まれる。例えば、フェイルセーフ制御の対象となる機器には、車両10の走行用の動力源を制御するための制御装置であるエンジンECU13を含むことができる。また、フェイルセーフ制御の対象となる機器には、車両10の走行用の動力の伝達を制御するための制御装置である変速機ECU14を含むことができる。また、フェイルセーフ制御の対象となる機器には、車両10のブレーキ力を制御するための制御装置であるブレーキECU15を含むことができる。また、さらに、フェイルセーフ制御の対象となる機器には、定速走行を制御するためのECUなど車両10の走行に関連する複数の機器を含むことができる。   The vehicle 10 includes a plurality of devices 13-15 that are targets of fail-safe control. Devices that are subject to fail-safe control include devices related to the traveling of the vehicle 10. For example, the equipment that is subject to fail-safe control can include an engine ECU 13 that is a control device for controlling a power source for traveling of the vehicle 10. Further, the devices that are subject to fail-safe control can include a transmission ECU 14 that is a control device for controlling transmission of power for traveling of the vehicle 10. Moreover, the brake ECU 15 that is a control device for controlling the braking force of the vehicle 10 can be included in the devices that are subject to fail-safe control. Furthermore, the devices that are subject to fail-safe control can include a plurality of devices related to the traveling of the vehicle 10, such as an ECU for controlling the constant speed traveling.

車両10は、エンジンECU13を備える。エンジンECU12は、車両10に搭載されたエンジン(内燃機関)を制御する。エンジンECU13は、例えば、エンジンへ供給される燃料噴射量、およびエンジンの点火時期を制御する。さらに、エンジンECU13は、フェイルセーフ制御を実行することによって、エンジンの出力を徐々に低下させるなど、車両10を安全側に制御することができる。   The vehicle 10 includes an engine ECU 13. The engine ECU 12 controls an engine (internal combustion engine) mounted on the vehicle 10. The engine ECU 13 controls, for example, the fuel injection amount supplied to the engine and the ignition timing of the engine. Furthermore, the engine ECU 13 can control the vehicle 10 to the safe side, for example, by gradually reducing the output of the engine by executing fail-safe control.

車両10は、変速機ECU14を備える。変速機ECU14は、車両10の変速機を制御する。変速機は、車両10の動力源としてのモータおよび/またはエンジンと駆動輪との間に設けられている。変速機ECU14は、例えば、動力源から駆動輪への駆動力の伝達を断続するように変速機を制御する。また、変速機ECU14は、例えば、変速機における減速率を制御する。変速機ECU14は、フェイルセーフ制御を実行することによって、変速機による動力伝達を徐々に低下させるなど、車両10を安全側に制御することができる。   The vehicle 10 includes a transmission ECU 14. The transmission ECU 14 controls the transmission of the vehicle 10. The transmission is provided between a motor and / or engine as a power source of the vehicle 10 and drive wheels. For example, the transmission ECU 14 controls the transmission so as to intermittently transmit the driving force from the power source to the driving wheels. Moreover, transmission ECU14 controls the deceleration rate in a transmission, for example. The transmission ECU 14 can control the vehicle 10 to the safe side, for example, by gradually reducing power transmission by the transmission by executing fail-safe control.

車両10は、ブレーキECU15を備える。ブレーキECU15は、車両10のブレーキ装置を制御する。ブレーキECU15には、例えば、加速度センサと、車輪速センサとの信号が入力される。加速度センサは、車両10の車体の加速度を検出する。車輪速センサは、車輪の回転速度を検出する。車両10は、複数の車輪のそれぞれに対応するように、複数の車輪速センサを備える。ブレーキECU15は、フェイルセーフ制御を実行することによって、ブレーキ力を徐々に増加させるなど、車両10を安全側に制御することができる。   The vehicle 10 includes a brake ECU 15. The brake ECU 15 controls the brake device of the vehicle 10. For example, signals from an acceleration sensor and a wheel speed sensor are input to the brake ECU 15. The acceleration sensor detects the acceleration of the vehicle body of the vehicle 10. The wheel speed sensor detects the rotational speed of the wheel. The vehicle 10 includes a plurality of wheel speed sensors so as to correspond to each of the plurality of wheels. The brake ECU 15 can control the vehicle 10 to the safe side, for example, gradually increasing the braking force by executing fail-safe control.

車両10は、ナビECU16を備える。ナビECU16は、車両10の走行位置を地図上に表示するナビゲーション装置である。ナビECU16は、入出力装置17と通信端末18とを備える。入出力装置17は、ユーザインターフェース機器であって、例えば、ディスプレイ装置と、このディスプレイ装置に設けられたタッチパネルを含むスイッチ群と、音声入出力装置とを備えることができる。通信端末18は、無線などの通信回線を利用して、広域ネットワーク30を経由するデータ通信を提供する。通信端末18は、LAN11にも接続されている。これにより、複数の車載機器12−19と広域ネットワーク30との間のデータ通信が可能とされている。   The vehicle 10 includes a navigation ECU 16. The navigation ECU 16 is a navigation device that displays the travel position of the vehicle 10 on a map. The navigation ECU 16 includes an input / output device 17 and a communication terminal 18. The input / output device 17 is a user interface device, and can include, for example, a display device, a switch group including a touch panel provided in the display device, and a voice input / output device. The communication terminal 18 provides data communication via the wide area network 30 by using a communication line such as wireless communication. The communication terminal 18 is also connected to the LAN 11. Thereby, data communication between the plurality of in-vehicle devices 12-19 and the wide area network 30 is enabled.

車両10は、車両10の運転者を含む使用者によって操作される通報スイッチ19を備える。通報スイッチ19は、車両10の使用者が、自ら感知した車両10の異常をサービスセンタに通報することを望む意思を入力するために設けられている。さらに、入出力装置17の音声入出力装置も、使用者の音声による通報要請を入力する手段として機能する。   The vehicle 10 includes a notification switch 19 that is operated by a user including the driver of the vehicle 10. The notification switch 19 is provided for the user of the vehicle 10 to input an intention to report the abnormality of the vehicle 10 detected by the user to the service center. Furthermore, the voice input / output device of the input / output device 17 also functions as a means for inputting a report request by the user's voice.

車両10に搭載された複数の機器11−19は、車両の整備作業のために使用されるサービスツールであるダイアグ端末機20と接続可能に構成されている。ダイアグ端末機20は、複数の機器11−19の状態を診断する診断装置である。ダイアグ端末機20は、例えば、修理工場などに置かれている。ダイアグ端末機20は、必要があるときにだけ、LAN11に接続され、車両10に搭載された機器のように動作する。   The plurality of devices 11-19 mounted on the vehicle 10 are configured to be connectable to a diagnosis terminal 20 that is a service tool used for vehicle maintenance work. The diagnostic terminal 20 is a diagnostic device that diagnoses the state of the plurality of devices 11-19. The diagnostic terminal 20 is placed in a repair shop, for example. The diagnostic terminal 20 is connected to the LAN 11 and operates like a device mounted on the vehicle 10 only when necessary.

ダイアグ端末機20は、複数の車載機器11−19の作動状態を診断するための複数の診断指令信号(以下、診断コマンドという)を出力することができる。機器11−19は、診断コマンドが示す自己診断を実行し、その診断結果を返信するように構成されている。これにより、ダイアグ端末機20には、診断結果が集められる。   The diagnostic terminal 20 can output a plurality of diagnostic command signals (hereinafter referred to as diagnostic commands) for diagnosing the operating states of the plurality of in-vehicle devices 11-19. The device 11-19 is configured to execute a self-diagnosis indicated by the diagnosis command and return the diagnosis result. As a result, diagnostic results are collected in the diagnostic terminal 20.

また、ダイアグ端末機20は、複数の車載機器11−19を強制的に所定の作動状態にさせるための複数の制御指令信号(以下、制御コマンドという)を出力することができる。ダイアグ端末機20からの制御コマンドを受信した機器11−19は、制御コマンドが示す作動状態に強制的に移行する。このような制御コマンドは、機器11−19の機能を検査し、整備するために利用される。このような目的を達成するために、機器11−19は、その機器に設けられた制限に優越して制御コマンドを実行するように構成されている。具体的には、機器11−19に特定の作動状態に移行するための制限が設けられていても、制御コマンドを受信した場合には、そのような制限に優越して、またはそのような制限を無視して、制御コマンドが示す特定の作動状態に移行するように、機器11−19は構成されている。   Further, the diagnostic terminal 20 can output a plurality of control command signals (hereinafter referred to as control commands) for forcing the plurality of in-vehicle devices 11-19 to a predetermined operating state. The device 11-19 that has received the control command from the diagnosis terminal 20 forcibly shifts to the operation state indicated by the control command. Such control commands are used to test and maintain the functionality of the equipment 11-19. In order to achieve such an object, the devices 11-19 are configured to execute control commands in preference to the restrictions provided in the devices. Specifically, even if the device 11-19 is provided with a restriction for transitioning to a specific operating state, if a control command is received, it will prevail over such restriction or such restriction. And the device 11-19 is configured to transition to the specific operating state indicated by the control command.

この実施形態では、ナビECU16は、フェイルセーフ制御に関連する制御処理を実行する制御装置としても機能する。ナビECU16は、ダイアグ端末機20のために用意された診断コマンドを複数の機器11−19に出力することができるように構成されている。これにより、ナビECU16は、複数の機器11−19に対して自己診断による異常の検出を指示することができる。車両10の各部における異常の発生は、複数の機器11−19のそれぞれにおいて検出される。異常の発生は、通報スイッチ19によって検出される場合もある。また、異常の発生は、音声入出力装置への使用者の音声入力によって検出される場合もある。異常の発生は、LAN11を経由してナビECU16に通報される。ナビECU16は、車両10における異常の重要度を評価して、通報が必要なほどに重要度が高い異常をサービスセンタ40に通報する。   In this embodiment, the navigation ECU 16 also functions as a control device that executes control processing related to fail-safe control. The navigation ECU 16 is configured to be able to output diagnostic commands prepared for the diagnostic terminal 20 to a plurality of devices 11-19. Thereby, navigation ECU16 can instruct | indicate the detection of the abnormality by a self-diagnosis with respect to several apparatus 11-19. Generation | occurrence | production of abnormality in each part of the vehicle 10 is detected in each of several apparatus 11-19. The occurrence of an abnormality may be detected by the notification switch 19. In addition, the occurrence of an abnormality may be detected by a user's voice input to the voice input / output device. The occurrence of an abnormality is reported to the navigation ECU 16 via the LAN 11. The navigation ECU 16 evaluates the importance of the abnormality in the vehicle 10 and notifies the service center 40 of the abnormality having such a high degree of importance that the notification is necessary.

また、ナビECU16は、サービスセンタ40から送信されてきたフェイルセーフ制御を複数の機器12−19に指示する。フェイルセーフ制御は、車両10の修理または調整のために各ECU毎に用意されているコマンドを利用して実行することができる。このようなコマンドは、制御コマンド、または強制駆動コマンドとも呼ばれる。例えば、所定のアクチュエータを所定の状態に駆動するコマンドや、エンジンのアイドル回転数を所定の回転数に制御するコマンドが用意されている。フェイルセーフ制御は、このような制御コマンドを流用して実行することができる。   The navigation ECU 16 instructs the plurality of devices 12-19 to perform fail-safe control transmitted from the service center 40. The fail safe control can be executed using a command prepared for each ECU for repair or adjustment of the vehicle 10. Such a command is also called a control command or a forced drive command. For example, a command for driving a predetermined actuator to a predetermined state and a command for controlling the engine idle speed to a predetermined speed are prepared. The fail safe control can be executed by using such a control command.

ナビECU16は、ダイアグ端末機20のために用意された制御コマンドを複数の機器11−19に出力することができるように構成されている。これにより、ナビECU16は、複数の機器11−19に対して制御コマンドによる強制的な制御、すなわちフェイルセーフ制御を指示することができる。フェイルセーフ制御においてダイアグ端末機20のために用意された制御コマンドを利用することにより、フェイルセーフ制御のためだけに新設するプログラム量を抑制することができる。この結果、複数の機器12−19のそれぞれにおいてフェイルセーフ制御が実行される。   The navigation ECU 16 is configured to be able to output a control command prepared for the diagnostic terminal 20 to a plurality of devices 11-19. Thereby, navigation ECU16 can instruct | indicate the forced control by a control command with respect to the some apparatus 11-19, ie, fail safe control. By using a control command prepared for the diagnostic terminal 20 in fail-safe control, it is possible to suppress the amount of program newly provided only for fail-safe control. As a result, fail safe control is executed in each of the plurality of devices 12-19.

さらに、ナビECU16は、サービスセンタ40から送信されてきた指示を車両10の使用者に対して通知する。例えば、サービスセンタ40から送信されてきたメッセージを入出力装置17のディスプレイ装置に表示する。例えば、メッセージには、車両10の望ましい操作が含まれる。また、サービスセンタ40から送信されてきたメッセージを、音声入出力装置により音声として使用者に通知する場合もある。   Further, the navigation ECU 16 notifies the user of the vehicle 10 of the instruction transmitted from the service center 40. For example, the message transmitted from the service center 40 is displayed on the display device of the input / output device 17. For example, the message includes a desired operation of the vehicle 10. In addition, a message transmitted from the service center 40 may be notified to the user as a voice by a voice input / output device.

車両用制御装置1は、サービスセンタ40に設けられた機器41−44を備える。サービスセンタ40は、複数の車両10に共通の設備として設置されている。サービスセンタ40には、通信端末41が設けられている。通信端末41は、無線などの通信回線を利用して、広域ネットワーク30を経由するデータ通信を提供する。   The vehicle control device 1 includes devices 41 to 44 provided in the service center 40. The service center 40 is installed as equipment common to the plurality of vehicles 10. The service center 40 is provided with a communication terminal 41. The communication terminal 41 provides data communication via the wide area network 30 using a wireless communication line.

サービスセンタ40には、フェイルセーフ制御を設定するための制御装置42が設けられている。通信端末41は、制御装置42にも接続されている。これにより、制御装置42と広域ネットワーク30との間のデータ通信が可能とされている。この結果、制御装置42と、車載の複数の機器11−19とは、互いにデータ通信が可能に構成されている。   The service center 40 is provided with a control device 42 for setting fail-safe control. The communication terminal 41 is also connected to the control device 42. Thereby, data communication between the control device 42 and the wide area network 30 is enabled. As a result, the control device 42 and the plurality of in-vehicle devices 11-19 are configured to be capable of data communication with each other.

サービスセンタ40には、車両用制御装置1によるサービスの提供対象となる車両10を識別するための識別情報を記録した車両データベース(VHDB)43が設けられている。VHDB43は、制御装置42において、異常を通報し、フェイルセーフ制御の設定を求めてきた車両10がサービスの提供対象であるか否かを判定するための認証処理を実行するときに利用される。   The service center 40 is provided with a vehicle database (VHDB) 43 in which identification information for identifying the vehicle 10 to be provided with the service by the vehicle control device 1 is recorded. The VHDB 43 is used when the control device 42 performs an authentication process for determining whether or not the vehicle 10 that has reported the abnormality and requested the setting of fail-safe control is a service providing target.

サービスセンタ40には、車両10において実行されるべき複数のフェイルセーフ制御を記録したフェイルセーフ制御データベース(FSDB)44が設けられている。FSDB44には、車両10に生じることがある複数の異常の種別と、車両10の位置を含む車両10に生じることがある複数の車両の状態と、複数のフェイルセーフ制御と、使用者に対する複数の指示とが関連付けられて記録されている。フェイルセーフ制御と、指示とは、異常の種別と、車両10の位置とに基づいて検索可能に記録されている。FSDB44に記録されたフェイルセーフ制御と指示とは、異常の種別ごとに異なる場合がある。例えば、車両10の速度が上昇しないという異常に対するフェイルセーフ制御と、車両10の速度が低下しないという異常に対するフェイルセーフ制御とは、異なる場合がある。   The service center 40 is provided with a fail safe control database (FSDB) 44 in which a plurality of fail safe controls to be executed in the vehicle 10 are recorded. The FSDB 44 includes a plurality of types of abnormality that may occur in the vehicle 10, a plurality of vehicle states that may occur in the vehicle 10 including the position of the vehicle 10, a plurality of fail-safe controls, and a plurality of items for the user. Instructions are recorded in association with each other. The fail safe control and the instruction are recorded so as to be searchable based on the type of abnormality and the position of the vehicle 10. The fail safe control and the instruction recorded in the FSDB 44 may be different for each type of abnormality. For example, fail-safe control for an abnormality in which the speed of the vehicle 10 does not increase may be different from fail-safe control for an abnormality in which the speed of the vehicle 10 does not decrease.

さらに、この実施形態では、FSDB44に記録されたフェイルセーフ制御と指示とは、異常の種別が同じであっても、車両10の位置に対応して異なる場合がある。例えば、車両10の速度が上昇しないという異常に対するフェイルセーフ制御と指示とは、車両10が駐車場にある場合と、踏切にある場合とで異なる。例えば、車両10が駐車場にある場合には、車両10を停車状態に維持して専門家による修理を待つためのフェイルセーフ制御と指示とが記録されている。また、車両10が踏切にある場合には、車両10を踏切から脱出させるためのフェイルセーフ制御と指示とが記録されている。   Further, in this embodiment, the fail-safe control and the instruction recorded in the FSDB 44 may differ depending on the position of the vehicle 10 even if the abnormality type is the same. For example, fail-safe control and an instruction for an abnormality in which the speed of the vehicle 10 does not increase are different depending on whether the vehicle 10 is in a parking lot or a level crossing. For example, when the vehicle 10 is in a parking lot, fail-safe control and instructions for maintaining the vehicle 10 in a stopped state and waiting for repairs by an expert are recorded. Further, when the vehicle 10 is at a railroad crossing, fail-safe control and instructions for causing the vehicle 10 to escape from the railroad crossing are recorded.

このようなFSDB44の記録は、以下のようなフェイルセーフ制御と指示との具体例において利用される。第1の例は、踏切において車両10のエンジンが停止した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を直結状態に制御する。例えば、自動変速機は、ロックアップモードに制御される。さらに、サービスセンタ40からのフェイルセーフ制御により、エンジンECU13は、スタータモータの駆動を許容する。例えば、エンジンECU13は、ブレーキ非操作時にスタータモータの駆動を禁止する制限制御を解除する。これにより、車両10は、エンジンが停止していても、スタータモータによって移動可能な状態に設定される。さらに、サービスセンタ40から送信される指示には、運転者に対するメッセージが含められる。このメッセージには、スタータモータを作動させ、車両10を移動させる方法が含まれる。このメッセージは、ナビECU16によって入出力装置17のディスプレイ装置に表示される。第2の例は、駐車場において車両10のエンジンが停止した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、動力伝達を遮断するように自動変速機を制御する。これにより、車両10は、駐車場に止まったままとなる。さらに、サービスセンタ40から送信される指示には、運転者に対するメッセージが含まれる。このメッセージには、修理業者などの専門家を呼ぶことを勧めるアドバイスが含まれる。このメッセージは、ナビECU16によって入出力装置17のディスプレイ装置に表示される。   Such recording of the FSDB 44 is used in the following specific examples of fail-safe control and instructions. The first example is a case where the engine of the vehicle 10 is stopped at a railroad crossing. In this case, the transmission ECU 14 controls the automatic transmission to a directly connected state by fail-safe control from the service center 40. For example, the automatic transmission is controlled to a lockup mode. Furthermore, the engine ECU 13 allows the starter motor to be driven by fail-safe control from the service center 40. For example, the engine ECU 13 cancels the restriction control that prohibits the starter motor from being driven when the brake is not operated. As a result, the vehicle 10 is set in a movable state by the starter motor even when the engine is stopped. Further, the instruction transmitted from the service center 40 includes a message for the driver. This message includes a method of moving the vehicle 10 by operating the starter motor. This message is displayed on the display device of the input / output device 17 by the navigation ECU 16. A 2nd example is a case where the engine of the vehicle 10 stops in a parking lot. In this case, the transmission ECU 14 controls the automatic transmission so as to cut off power transmission by fail-safe control from the service center 40. Thereby, the vehicle 10 remains stopped in the parking lot. Further, the instruction transmitted from the service center 40 includes a message for the driver. This message includes advice to call a specialist such as a repairer. This message is displayed on the display device of the input / output device 17 by the navigation ECU 16.

また、別の例においては、車両10の速度が低下しないという異常に対するフェイルセーフ制御と指示とは、車両10が市街地道路にある場合と、高速道路にある場合とで異なる。例えば、車両10が市街地道路にある場合には、車両10を徐々に減速させ停車させるためのフェイルセーフ制御と指示とが記録されている。また、車両10が高速道路にある場合には、車両10を徐々に減速させるが、サービスエリアなどの駐車可能な場所までの走行を許容するためのフェイルセーフ制御と指示とが記録されている。   In another example, the fail-safe control and instruction for an abnormality that the speed of the vehicle 10 does not decrease is different between when the vehicle 10 is on a city road and when it is on a highway. For example, when the vehicle 10 is on an urban road, fail-safe control and instructions for gradually decelerating and stopping the vehicle 10 are recorded. Further, when the vehicle 10 is on an expressway, the vehicle 10 is gradually decelerated, but fail-safe control and instructions for permitting travel to a parking area such as a service area are recorded.

このようなFSDB44の記録は、以下のようなフェイルセーフ制御と指示との具体例において利用される。第3の例は、高速道路において、エンジンの吸気絞り弁が開状態のまま故障した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を低速走行の減速比に固定する。例えば、自動変速機は、ローレンジに固定される。さらに、エンジンECU13は、エンジンの燃料カット回転数を通常値より低い回転数に設定する。これにより、吸気絞り弁が全開であっても、エンジンの回転数は比較的低い回転数に制限される。この結果、車両10は低速で走行が可能な状態に制御される。この状態は、最も近いサービスエリアまで維持される。第4の例は、市街地道路において、エンジンの吸気絞り弁が開状態のまま故障した場合である。この場合、サービスセンタ40からのフェイルセーフ制御により、変速機ECU14は、自動変速機を低速走行の減速比に固定する。例えば、自動変速機は、ローレンジに固定される。さらに、エンジンECU13は、エンジンの燃料カット回転数を徐々に低下させる。これにより、吸気絞り弁が全開であっても、エンジンの回転数は徐々に低下する。このときのエンジン回転数の低下は、数10メートルだけ車両10を走行させることができるように設定される。この結果、運転者は、車両10を市街地道路の路肩まで移動させることができる。車両10は、やがてゆっくりと停車する。   Such recording of the FSDB 44 is used in the following specific examples of fail-safe control and instructions. The third example is a case where an engine intake throttle valve is open and malfunctions on a highway. In this case, the transmission ECU 14 fixes the automatic transmission to a reduction ratio for low-speed traveling by fail-safe control from the service center 40. For example, an automatic transmission is fixed to a low range. Further, the engine ECU 13 sets the fuel cut speed of the engine to a speed lower than the normal value. Thereby, even if the intake throttle valve is fully open, the engine speed is limited to a relatively low speed. As a result, the vehicle 10 is controlled so as to be able to travel at a low speed. This state is maintained up to the nearest service area. The fourth example is a case where a malfunction occurs while the intake throttle valve of the engine is open on an urban road. In this case, the transmission ECU 14 fixes the automatic transmission to a reduction ratio for low-speed traveling by fail-safe control from the service center 40. For example, an automatic transmission is fixed to a low range. Further, the engine ECU 13 gradually decreases the fuel cut speed of the engine. Thereby, even if the intake throttle valve is fully open, the engine speed gradually decreases. The decrease in the engine speed at this time is set so that the vehicle 10 can travel by several tens of meters. As a result, the driver can move the vehicle 10 to the shoulder of the city road. The vehicle 10 stops slowly before long.

また、別の例として、高速道路において異常が通報された場合と、市街地道路で異常が通報された場合とを考えることができる。高速道路において異常が通報された場合には、エンジンの燃料カット回転数を徐々に第1速度で低下させるようにフェイルセーフ制御が設定される。これにより、運転者は、高速道路における速い交通の流れを顕著に妨げることなく、車両10を徐々に減速させ、路肩などの安全な場所へ移動することが可能となる。一方、市街地道路において異常が通報された場合には、エンジンの燃料カット回転数を徐々に第2速度で低下させるようにフェイルセーフ制御が設定される。第2速度は、第1速度より速い。これにより、運転者は、市街地道路における比較的ゆっくりとした交通の流れを妨げることなく、車両10を徐々に減速させ、路肩などの安全な場所へ移動することが可能となる。   As another example, a case where an abnormality is reported on a highway and a case where an abnormality is reported on an urban road can be considered. When an abnormality is reported on the expressway, fail-safe control is set so that the engine fuel cut speed is gradually reduced at the first speed. Thus, the driver can gradually decelerate the vehicle 10 and move to a safe place such as a road shoulder without significantly hindering a fast traffic flow on the highway. On the other hand, when an abnormality is reported on an urban road, fail-safe control is set so that the engine fuel cut speed is gradually reduced at the second speed. The second speed is faster than the first speed. Thus, the driver can gradually decelerate the vehicle 10 and move to a safe place such as a road shoulder without obstructing a relatively slow traffic flow on an urban road.

制御装置42は、認証処理を実行する認証手段として機能する。認証処理は、VHDB43に記録された識別情報と、車両10から送信されてくる識別情報とに基づいて実行される。認証処理では、異常を通報することによってフェイルセーフ制御の設定を求めてきた車両10がサービスの提供対象として登録された正規の車両10であるか否かが判定される。   The control device 42 functions as an authentication unit that executes an authentication process. The authentication process is executed based on the identification information recorded in the VHDB 43 and the identification information transmitted from the vehicle 10. In the authentication process, it is determined whether or not the vehicle 10 that has requested the setting of fail-safe control by reporting an abnormality is a regular vehicle 10 registered as a service provision target.

制御装置42は、フェイルセーフ制御と指示とを設定する設定処理を実行する設定手段として機能する。設定処理は、車両10が送信されてくるデータと、FSDB44の記録内容とに基づいて実行される。設定処理では、車両10異常状態と車両10の位置とに基づいて、FSDB44の内容が検索され、上記異常状態と位置とに適合するフェイルセーフ制御と指示とが抽出され、それらが車両10に送信される。   The control device 42 functions as a setting unit that executes setting processing for setting fail-safe control and instructions. The setting process is executed based on data transmitted from the vehicle 10 and the contents recorded in the FSDB 44. In the setting process, the contents of the FSDB 44 are searched based on the abnormal state of the vehicle 10 and the position of the vehicle 10, fail-safe control and instructions suitable for the abnormal state and position are extracted, and these are transmitted to the vehicle 10. Is done.

車両10およびサービスセンタ40に設けられた制御装置は、コンピュータによって読み取り可能な記憶媒体を備えるマイクロコンピュータによって提供される。記憶媒体は、コンピュータによって読み取り可能なプログラムを格納している。記憶媒体は、メモリによって提供されうる。プログラムは、制御装置によって実行されることによって、制御装置をこの明細書に記載される装置として機能させ、この明細書に記載される制御方法を実行するように制御装置を機能させる。制御装置が提供する手段は、所定の機能を達成する機能的ブロック、またはモジュールとも呼ぶことができる。   The control device provided in the vehicle 10 and the service center 40 is provided by a microcomputer provided with a computer-readable storage medium. The storage medium stores a computer-readable program. The storage medium can be provided by a memory. By being executed by the control device, the program causes the control device to function as the device described in this specification, and causes the control device to function so as to execute the control method described in this specification. The means provided by the control device can also be called a functional block or module that achieves a predetermined function.

図2は、第1実施形態の作動を示すフローチャートである。図中には、車両10において実行される制御処理160と、サービスセンタ40において実行される制御処理180とが図示されている。制御処置160と制御処理180とは、その全体によって、車両10の異常に対策するためのフェイルセーフ制御を設定するための処理を示している。また、制御処置160と制御処理180とは、その全体によって、車両10を遠隔的に制御する遠隔制御手段を構成している。   FIG. 2 is a flowchart showing the operation of the first embodiment. In the figure, a control process 160 executed in the vehicle 10 and a control process 180 executed in the service center 40 are shown. The control treatment 160 and the control processing 180 indicate processing for setting fail-safe control for taking measures against an abnormality of the vehicle 10 as a whole. Further, the control treatment 160 and the control processing 180 constitute a remote control means for remotely controlling the vehicle 10 as a whole.

制御処理160は、車両10が運行状態にあるときに繰り返して実行される。制御処理160は、ナビECU16によって実行される。制御処理160は、エンジンECU13などの他のECUにおいても実行可能である。   The control process 160 is repeatedly executed when the vehicle 10 is in an operating state. The control process 160 is executed by the navigation ECU 16. The control process 160 can also be executed in other ECUs such as the engine ECU 13.

ステップ161では、車両10の状態を示すデータが検出され、蓄積される。これにより、車両10の状態の変化を示す履歴データが構成される。履歴データは、車両10の異常の種別を示すデータとして利用される。ステップ161は、車両10に設けられ、車両10の状態を検出する状態検出手段を提供する。ここでは、車両10に設けられたLAN11に流れるデータから車両の状態を取得する。この構成によると、車載のLAN11上のデータから車両10の状態を取得することができる。このため、既存の装置、および既存のソフトウエアを流用して状態検出手段を提供することができる。   In step 161, data indicating the state of the vehicle 10 is detected and accumulated. Thereby, the history data which shows the change of the state of the vehicle 10 is comprised. The history data is used as data indicating the type of abnormality of the vehicle 10. Step 161 is provided in the vehicle 10 and provides state detection means for detecting the state of the vehicle 10. Here, the state of the vehicle is acquired from data flowing in the LAN 11 provided in the vehicle 10. According to this configuration, the state of the vehicle 10 can be acquired from data on the in-vehicle LAN 11. For this reason, a state detection means can be provided by diverting an existing apparatus and existing software.

ステップ162では、車両10の異常状態が検出される。ここで、異常状態には、車載の機器11−19による自己診断処理によって検出される異常と、車両10に搭乗している使用者が感知した異常とが含まれている。自己診断によって検出された異常は、LAN11を経由してナビECU16に入力される。ステップ162は、車両10に設けられ、車両10の異常を検出する異常検出手段を提供する。ここでは、車両の整備作業のために予め用意された診断コマンドによって車両の異常を検出する。車両の整備作業のために予め用意された診断コマンドを利用して、車両の異常を検出することができる。このため、既存の装置、および既存のソフトウエアを流用して異常検出手段を提供することができる。   In step 162, an abnormal state of the vehicle 10 is detected. Here, the abnormal state includes an abnormality detected by the self-diagnosis process by the in-vehicle device 11-19 and an abnormality sensed by a user on the vehicle 10. The abnormality detected by the self-diagnosis is input to the navigation ECU 16 via the LAN 11. Step 162 is provided in the vehicle 10 and provides an abnormality detection means for detecting an abnormality of the vehicle 10. Here, the abnormality of the vehicle is detected by a diagnostic command prepared in advance for the vehicle maintenance work. An abnormality of the vehicle can be detected by using a diagnostic command prepared in advance for vehicle maintenance work. For this reason, an abnormality detection means can be provided by diverting an existing apparatus and existing software.

使用者が感知した異常は、使用者が通報スイッチ19を操作することによって、または使用者が通報を求める音声を入出力装置17に入力することによって、ナビECU16に入力される。ステップ162によって提供される異常検出手段は、車両10の使用者からの要請を入力する入力手段を提供している。この構成によると、車両10の使用者が車両の異常を感知した場合にも、異常を通報し、フェイルセーフ制御の設定を求めることができる。このため、車両10の異常が使用者の誤操作に起因しており、車載の機器には異常が生じていない場合でも、フェイルセーフ制御を設定することができる。入力手段は、異常を感知した使用者が操作する通報スイッチ、または、異常を感知した使用者が通報を要請する音声入力装置などのインターフェース装置によって提供することができる。   The abnormality sensed by the user is input to the navigation ECU 16 when the user operates the notification switch 19 or when the user inputs a voice requesting notification to the input / output device 17. The abnormality detection means provided by step 162 provides an input means for inputting a request from the user of the vehicle 10. According to this configuration, even when the user of the vehicle 10 senses an abnormality in the vehicle, the abnormality can be reported and the setting of fail-safe control can be obtained. For this reason, even when the abnormality of the vehicle 10 is caused by a user's erroneous operation and no abnormality occurs in the in-vehicle device, the fail safe control can be set. The input means can be provided by an interface device such as a notification switch operated by a user who has detected an abnormality or a voice input device from which a user who has detected an abnormality requests a notification.

ここでは、例えば、以下に列挙するような故障を含む異常が検出される。例えば、エンジンの吸気絞り弁の故障が検出される。また、それによる車両の停止が検出される。また、所定期間以上にわたるエンジン回転数の過剰が検出される。さらに、使用者からの通報要請も車両10の異常として検出される。   Here, for example, abnormalities including failures listed below are detected. For example, an engine intake throttle valve failure is detected. Moreover, the stop of the vehicle by it is detected. Further, an excessive engine speed over a predetermined period is detected. Further, a report request from the user is also detected as an abnormality of the vehicle 10.

ステップ163では、異常状態の重要度が評価される。ここでは、サービスセンタ40への通報が必要な異常か否かが判定される。自己診断によって検出された異常は、重要度に応じて、通報対象となる場合と、通報対象とならない場合とがある。例えば、車両10が移動不可であるとき、車両10が停止不可であるとき、車両10が意図しない挙動を示すときには、通報に値する高い重要度として評価される。一方、通報スイッチ19が操作された場合には、高い重要度と評価することによって必ず通報対象となる。   In step 163, the importance of the abnormal condition is evaluated. Here, it is determined whether there is an abnormality that requires notification to the service center 40. The abnormality detected by the self-diagnosis may be a report target or may not be a report target depending on the importance. For example, when the vehicle 10 cannot move, when the vehicle 10 cannot stop, and when the vehicle 10 exhibits an unintended behavior, it is evaluated as a high degree of importance worthy of notification. On the other hand, when the notification switch 19 is operated, the notification switch 19 is always subject to notification by evaluating with high importance.

ステップ164では、重要度に応じて通報が必要か否かが判定される。通報が不要の場合には、ステップ161へ戻る。通報が必要である場合、ステップ165へ進む。   In step 164, it is determined whether or not notification is necessary according to the importance. If the report is unnecessary, the process returns to step 161. If notification is required, go to step 165.

ステップ165では、車両10からサービスセンタ40へ異常の発生が通報される。このとき、車両10の識別情報も送信される。   In step 165, the occurrence of abnormality is notified from the vehicle 10 to the service center 40. At this time, identification information of the vehicle 10 is also transmitted.

ステップ181では、サービスセンタ40において車両10からの通報が受信される。ステップ182では、車両10がサービスの提供対象として登録された車両であるか否かを判定するための認証処理が実行される。ステップ183では、認証が成立したか否かが判定される。車両10が正規の車両である場合、認証が成立する。認証が不成立の場合、処理はステップ181に戻る。ステップ165、181、182、183の処理は、サービスセンタ40において車両10を認証するための第1認証手段を提供する。ステップ183において認証が成立した場合、ステップ184へ進む。   In step 181, the service center 40 receives a report from the vehicle 10. In step 182, an authentication process for determining whether or not the vehicle 10 is a vehicle registered as a service providing target is executed. In step 183, it is determined whether authentication has been established. If the vehicle 10 is a regular vehicle, authentication is established. If the authentication is not established, the process returns to step 181. The processing of steps 165, 181, 182, and 183 provides a first authentication means for authenticating the vehicle 10 at the service center 40. If authentication is established in step 183, the process proceeds to step 184.

ステップ184では、サービスセンタ40を識別するための識別信号(センタID)をサービスセンタ40から車両10に送信する。ステップ166では、車両10においてセンタIDが受信される。ステップ167では、センタ40が正規のサービスセンタ40であるか否かを判定するための認証処理が実行される。ステップ168では、認証が成立したか否かが判定される。サービスセンタ40が正規の機関である場合、認証が成立する。認証が不成立の場合、ステップ161へ戻る。ステップ184、166、167、168の処理は、車両10においてサービスセンタ40を認証するための第2認証手段を提供する。第2認証手段は、正規ではない何者かによって不適切なフェイルセーフ制御、および/または指示が設定されることを阻止する。ステップ168において認証が成立した場合、ステップ169へ進む。   In step 184, an identification signal (center ID) for identifying the service center 40 is transmitted from the service center 40 to the vehicle 10. In step 166, the vehicle 10 receives the center ID. In step 167, an authentication process for determining whether or not the center 40 is an authorized service center 40 is executed. In step 168, it is determined whether authentication has been established. If the service center 40 is an authorized organization, authentication is established. If authentication is not established, the process returns to step 161. The processing in steps 184, 166, 167, 168 provides a second authentication means for authenticating the service center 40 in the vehicle 10. The second authentication means prevents inappropriate fail-safe control and / or instructions from being set by someone who is not authorized. If authentication is established in step 168, the process proceeds to step 169.

この実施形態では、ステップ182−183は、サービスセンタ40に設けられ、車両10が正規の車両であることを判定する車両判定手段を提供する。ステップ167−168は、車両10に設けられ、サービスセンタ40が正規のサービスセンタであることを判定するサービスセンタ判定手段を提供する。これらの手段において正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、後続の実行手段と通知手段とが機能する。この構成によると、不正なアクセスによるサービスセンタの利用、および不正なアクセスによるフェイルセーフ制御の実行を回避することができる。   In this embodiment, steps 182-183 are provided in the service center 40 and provide vehicle determination means for determining that the vehicle 10 is a regular vehicle. Steps 167 to 168 provide service center determination means that is provided in the vehicle 10 and determines that the service center 40 is a regular service center. Only when it is determined that the vehicle is a legitimate vehicle by these means and is a legitimate service center, the subsequent execution means and the notification means function. According to this configuration, use of the service center due to unauthorized access and execution of failsafe control due to unauthorized access can be avoided.

車両判定手段と、サービスセンタ判定手段とは、高度のセキュリティを実現する認証手法によって提供される。車両判定手段と、サービスセンタ判定手段とは、暗号化された通信によって提供される。さらに、車両判定手段と、サービスセンタ判定手段とは、車両10に搭載された盗難防止ECU12が提供するイモビライザの暗号演算と同じアルゴリズム、すなわち認証機能を利用して提供される。これにより、通報が正規のものであることと、フェイルセーフ制御による強制的な制御が正規のものであることとを確認する。この構成によると、車載の盗難防止装置(盗難防止ECU12)が提供する認証機能によって不正なアクセスを阻止することができる。このため、既存の装置、および既存のソフトウエアを流用して車両判定手段とサービスセンタ判定手段とを提供することができる。この結果、車載の認証機能を利用して、正規のフェイルセーフ制御だけを実行することができる。   The vehicle determination means and the service center determination means are provided by an authentication method that realizes high security. The vehicle determination means and the service center determination means are provided by encrypted communication. Furthermore, the vehicle determination means and the service center determination means are provided by using the same algorithm as that of the immobilizer cryptographic calculation provided by the anti-theft ECU 12 mounted on the vehicle 10, that is, an authentication function. As a result, it is confirmed that the notification is legitimate and that the compulsory control by the failsafe control is legitimate. According to this configuration, unauthorized access can be blocked by the authentication function provided by the in-vehicle antitheft device (theft prevention ECU 12). For this reason, it is possible to provide the vehicle determination means and the service center determination means by diverting existing devices and existing software. As a result, only regular fail-safe control can be executed using the in-vehicle authentication function.

ステップ169では、車両10からサービスセンタ40へ車両10の状態を示すデータを送信する。このデータには、少なくとも、車両10の異常の種別を示すデータと、車両10の位置を示すデータとが含まれている。車両10の位置は、ナビゲーション装置を構成するナビECU16内において得られ、提供されたデータである。このデータには、ステップ161で蓄積された履歴データを含むことができる。さらに、このデータには、ステップ162において異常が検出された後の車両10の状態を示すデータを含むことができる。このような、異常の前後における車両10の状態を示すデータは、異常の種別を細分化するために貢献する。ステップ165とステップ169とは、車両10に設けられ、車両10の異常の種別と、車両10の状態とを送信する異常送信手段を提供する。   In step 169, data indicating the state of the vehicle 10 is transmitted from the vehicle 10 to the service center 40. This data includes at least data indicating the type of abnormality of the vehicle 10 and data indicating the position of the vehicle 10. The position of the vehicle 10 is data provided and provided in the navigation ECU 16 that constitutes the navigation device. This data can include the history data accumulated in step 161. Further, this data can include data indicating the state of the vehicle 10 after the abnormality is detected in step 162. Such data indicating the state of the vehicle 10 before and after the abnormality contributes to subdividing the type of abnormality. Step 165 and step 169 are provided in the vehicle 10 and provide an abnormality transmission means for transmitting the type of abnormality of the vehicle 10 and the state of the vehicle 10.

より具体的には、ステップ169で送信されるデータには、以下に列挙するデータを含むことができる。(1)異常前後の車両情報。(2)各ECUの故障情報。(3)エンジンの回転数。(4)車速。(5)ギアポジション。(6)車両10の位置。これらのデータは、ダイアグ端末機20のために用意された診断コマンドを使用して取得される。また、これらのデータは、LAN11上のデータから取得される。   More specifically, the data transmitted in step 169 can include the data listed below. (1) Vehicle information before and after abnormality. (2) Fault information of each ECU. (3) Engine speed. (4) Vehicle speed. (5) Gear position. (6) The position of the vehicle 10. These data are acquired using a diagnostic command prepared for the diagnostic terminal 20. These data are acquired from data on the LAN 11.

ステップ185では、サービスセンタ40において、車両10の状態を示すデータが受信される。ステップ181とステップ185とは、車両10と通信回線を介して接続されたサービスセンタ40に設けられ、車両10の異常の種別と、車両10の状態とを受信する異常受信手段を提供する。   In step 185, the service center 40 receives data indicating the state of the vehicle 10. Step 181 and step 185 are provided in the service center 40 connected to the vehicle 10 via a communication line, and provide an abnormality receiving means for receiving the type of abnormality of the vehicle 10 and the state of the vehicle 10.

ステップ186では、制御装置42がFSDB44から適切なフェイルセーフ制御(FS制御)と指示とを検索する。ステップ186は、異常受信手段によって受信された異常の種別と車両10の状態とに基づいて、データベース44を検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段を提供する。   In step 186, the control device 42 searches the FSDB 44 for appropriate failsafe control (FS control) and instructions. Step 186 provides an extracting means for searching the database 44 based on the type of abnormality received by the abnormality receiving means and the state of the vehicle 10 and extracting specific fail-safe control and specific instructions.

ステップ187では、サービスセンタ40から車両10へフェイルセーフ制御と指示とが送信される。ステップ187は、抽出手段により抽出されたフェイルセーフ制御と指示とを車両10に送信する制御送信手段を提供する。ステップ170では、車両10において、フェイルセーフ制御と指示とが受信される。ステップ170は、車両10に設けられ、フェイルセーフ制御と指示とを受信する制御受信手段を提供する。ここでは、ナビECU16によってフェイルセーフ制御と指示とが受信される。   In step 187, the fail safe control and the instruction are transmitted from the service center 40 to the vehicle 10. Step 187 provides a control transmission means for transmitting the fail safe control and the instruction extracted by the extraction means to the vehicle 10. In step 170, the vehicle 10 receives fail-safe control and instructions. Step 170 is provided in the vehicle 10 and provides a control receiving means for receiving fail-safe control and instructions. Here, the fail ECU 16 receives the fail safe control and the instruction.

ステップ161−170、およびステップ181−187は、車両10における異常の種別および車両10の状態に基づいて、車両10の状態に応じて異なるフェイルセーフ制御と車両10の使用者に対する指示とを設定する設定手段を提供する。この実施形態によると、車両10における異常に対策するためのフェイルセーフ制御が設定される。しかも、そのフェイルセーフ制御は、車両10の状態、例えば車両10の位置に応じて異なるものが設定される。また、車両10における異常に対策するための、車両10の使用者に対する指示が設定される。しかも、この指示は、車両10の状態、例えば車両10の位置に応じて異なるものが設定される。   Step 161-170 and step 181-187 set different fail-safe control depending on the state of the vehicle 10 and instructions for the user of the vehicle 10 based on the type of abnormality in the vehicle 10 and the state of the vehicle 10. Provides setting means. According to this embodiment, fail-safe control for taking measures against an abnormality in the vehicle 10 is set. Moreover, the fail-safe control is set differently depending on the state of the vehicle 10, for example, the position of the vehicle 10. In addition, an instruction for the user of the vehicle 10 is set to take measures against an abnormality in the vehicle 10. In addition, different instructions are set according to the state of the vehicle 10, for example, the position of the vehicle 10.

ステップ171では、車両10において、フェイルセーフ制御と指示とが実行される。ここでは、ナビECU16から、複数の機器11−19のうちの対象機器へフェイルセーフ制御が指示され、その機器においてフェイルセーフ制御が実行される。ここでは、例えば、エンジンECU13においてフェイルセーフ制御が実行される場合がある。また、ナビECU16それ自身によってフェイルセーフ制御が実行される場合もある。   In step 171, failsafe control and instructions are executed in the vehicle 10. Here, the navigation ECU 16 instructs the target device of the plurality of devices 11-19 to perform fail-safe control, and the device performs the fail-safe control. Here, for example, fail safe control may be executed in the engine ECU 13. Further, there may be a case where fail safe control is executed by the navigation ECU 16 itself.

ステップ171は、フェイルセーフ制御を実行する実行手段を提供する。これにより、車両10の状態、例えば車両10の位置に応じた適切なフェイルセーフ制御を提供することができる。ここでは、車両の整備作業のために予め用意された強制駆動コマンド(制御コマンド)によってフェイルセーフ制御を実行する。この構成によると、車両の整備作業のために予め用意された制御コマンドを利用してフェイルセーフ制御を実行することができる。このため、既存の装置、および既存のソフトウエアを流用して実行手段を提供することができる。フェイルセーフ制御においては、正常なECUに対して、それに属するアクチュエータを駆動するための強制駆動コマンドが送信される。   Step 171 provides execution means for executing fail-safe control. Thereby, the appropriate fail safe control according to the state of the vehicle 10, for example, the position of the vehicle 10, can be provided. Here, fail-safe control is executed by a forced drive command (control command) prepared in advance for vehicle maintenance work. According to this configuration, fail-safe control can be executed using a control command prepared in advance for vehicle maintenance work. For this reason, it is possible to provide execution means by diverting existing devices and existing software. In fail-safe control, a forced drive command for driving an actuator belonging to a normal ECU is transmitted.

ここで、複数のECU12−16を含む車載の機器11−19は、車両10の異常が検出されないときにそれら機器を作動させる制御手段を提供している。さらに、それらの制御手段は、車両10の異常が検出されないときに、フェイルセーフ制御による車両に搭載された機器の駆動を制限する制限手段を提供する。例えば、制限手段は、ブレーキを操作することなくスタータモータを駆動することを制限(禁止)している。しかし、ステップ171によって提供される実行手段は、制限手段による制限を解除して、フェイルセーフ制御を実行する。この構成によると、車両10の異常が検出されないとき、すなわち正常時には、車載機器11−19は、フェイルセーフ制御による特殊な動作をしないように、その駆動が制限手段によって制限される。実行手段は、車両10の異常時には、その異常状態から脱出するために、またはその異常状態を緩和するために、制限手段による制限を敢えて解除して、車載機器11−19をフェイルセーフ制御によって駆動する。   Here, the vehicle-mounted device 11-19 including a plurality of ECUs 12-16 provides a control means for operating these devices when an abnormality of the vehicle 10 is not detected. Furthermore, these control means provide a limiting means for restricting the drive of the device mounted on the vehicle by fail-safe control when no abnormality of the vehicle 10 is detected. For example, the restricting means restricts (prohibits) driving the starter motor without operating the brake. However, the execution means provided by step 171 cancels the restriction by the restriction means and executes fail-safe control. According to this configuration, when an abnormality of the vehicle 10 is not detected, that is, when it is normal, the in-vehicle device 11-19 is restricted by the restricting unit so as not to perform a special operation by fail-safe control. When the vehicle 10 is abnormal, the execution means deliberately releases the restriction by the restriction means in order to escape from the abnormal state or alleviate the abnormal state, and drive the in-vehicle device 11-19 by fail-safe control. To do.

さらに、ステップ171では、ナビECU16の入出力装置17によって指示を使用者に通知する。例えば、指示はディスプレイ装置に表示される。また、指示は、音声発生装置によって音声として出力される。ステップ171は、車両10において指示を使用者に通知する通知手段を提供する。これにより、車両10の状態、例えば車両10の位置に応じた適切な指示を使用者に与えることができる。   Further, in step 171, an instruction is notified to the user by the input / output device 17 of the navigation ECU 16. For example, the instruction is displayed on the display device. In addition, the instruction is output as voice by the voice generation device. Step 171 provides a notification means for notifying the user of an instruction in the vehicle 10. Thereby, an appropriate instruction according to the state of the vehicle 10, for example, the position of the vehicle 10, can be given to the user.

ステップ172では、車両10から、サービスセンタ40へフェイルセーフ制御の結果が送信される。例えば、フェイルセーフ制御の対象となった機器からナビECU16に結果が送信され、さらにナビECU16からサービスセンタ40の制御装置42に結果が送信される。ステップ173では、フェイルセーフ制御による処置が完了したか否かが判定される。フェイルセーフ制御が完了した場合、一連の処理を終了する。一方、フェイルセーフ制御が完了していない場合、ステップ171へ戻り、フェイルセーフ制御を継続する。   In step 172, the result of the fail safe control is transmitted from the vehicle 10 to the service center 40. For example, the result is transmitted to the navigation ECU 16 from the device that is subject to fail-safe control, and the result is further transmitted from the navigation ECU 16 to the control device 42 of the service center 40. In step 173, it is determined whether or not the treatment by the fail safe control is completed. When fail-safe control is completed, a series of processing ends. On the other hand, when fail-safe control is not completed, it returns to step 171 and continues fail-safe control.

ステップ188では、サービスセンタ40においてフェイルセーフ制御の結果が受信される。ステップ189では、フェイルセーフ制御による処置が完了したか否かが判定される。フェイルセーフ制御が完了した場合、一連の処理を終了する。一方、フェイルセーフ制御が完了していない場合、ステップ188へ戻り、フェイルセーフ制御の完了を待つ。   In step 188, the service center 40 receives the result of the fail safe control. In step 189, it is determined whether or not the treatment by the failsafe control is completed. When fail-safe control is completed, a series of processing ends. On the other hand, if fail-safe control is not completed, the process returns to step 188 to wait for completion of fail-safe control.

この実施形態によると、車両10のナビゲーションシステムのインターフェイスを利用して、異常の通報と、異常に対する対策の指示とを含むコミュニケーションが、車両10の使用者とサービスセンタ40との間で可能となる。車両10が異常状態となった場合、使用者が慌ててしまい適切な対処ができない可能性がある。しかし、この実施形態によると、サービスセンタ40における設定によって適切なフェイルセーフ制御が強制的に実行される。さらに、車両10の使用者に対しても、サービスセンタ40からの指示による支援が提供されるから、適切な処置が可能となる。   According to this embodiment, using the interface of the navigation system of the vehicle 10, communication including an abnormality report and a countermeasure instruction for the abnormality is possible between the user of the vehicle 10 and the service center 40. . When the vehicle 10 is in an abnormal state, there is a possibility that the user will panic and take appropriate measures. However, according to this embodiment, appropriate failsafe control is forcibly executed according to the setting in the service center 40. Furthermore, since the support by the instruction from the service center 40 is also provided to the user of the vehicle 10, an appropriate treatment can be performed.

また、この実施形態では、なりすましなどの不正な行為による不具合を防止するために、車両10とサービスセンタ40との両方において相互の認証処理が実行される。このため、不正なフェイルセーフ制御を阻止することができる。また、車両10に搭載されたイモビライザの暗号演算と同じアルゴリズムを使って認証処理を実行することができる。   Further, in this embodiment, mutual authentication processing is executed in both the vehicle 10 and the service center 40 in order to prevent problems due to unauthorized actions such as impersonation. For this reason, unauthorized fail-safe control can be prevented. Further, the authentication process can be executed using the same algorithm as the cryptographic operation of the immobilizer mounted on the vehicle 10.

また、異常の検出、およびフェイルセーフ制御のために、ダイアグ端末機20のために用意されたコマンドを利用しているから、既存の車両制御ソフトウエアに大きな変更を行わなくてもアクチュエータの駆動などが可能である。   In addition, since the commands prepared for the diagnostic terminal 20 are used for abnormality detection and fail-safe control, the actuators can be driven without major changes to the existing vehicle control software. Is possible.

(他の実施形態)
以上、本発明の好ましい実施形態について説明したが、本発明は上述した実施形態に何ら制限されることなく、本発明の主旨を逸脱しない範囲において種々変形して実施することが可能である。上記実施形態の構造は、あくまで例示であって、本発明の範囲はこれらの記載の範囲に限定されるものではない。本発明の範囲は、特許請求の範囲の記載によって示され、さらに特許請求の範囲の記載と均等の意味及び範囲内での全ての変更を含むものである。 (Other embodiments)
The preferred embodiments of the present invention have been described above, but the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the present invention. The structure of the said embodiment is an illustration to the last, Comprising: The scope of the present invention is not limited to the range of these description. The scope of the present invention is indicated by the description of the scope of claims, and further includes meanings equivalent to the description of the scope of claims and all modifications within the scope.

例えば、制御装置が提供する手段と機能は、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。例えば、制御装置をアナログ回路によって構成してもよい。   For example, the means and functions provided by the control device can be provided by software only, hardware only, or a combination thereof. For example, the control device may be configured by an analog circuit.

1 車両用制御装置、10 車両、11 LAN、12 盗難防止ECU、13 エンジンECU。14 変速機ECU、15 ブレーキECU、16 ナビECU、17 入出力装置、18 通信端末。19 通報スイッチ、20 ダイアグ端末機、30 広域ネットワーク、40 サービスセンタ、41 通信端末、42 制御装置、43 車両データベース(VHDB)、44 フェイルセーフ制御データベース(FSDB)。   DESCRIPTION OF SYMBOLS 1 Control apparatus for vehicles, 10 Vehicle, 11 LAN, 12 Anti-theft ECU, 13 Engine ECU. 14 transmission ECU, 15 brake ECU, 16 navigation ECU, 17 input / output device, 18 communication terminal. 19 Report switch, 20 Diag terminal, 30 Wide area network, 40 Service center, 41 Communication terminal, 42 Control device, 43 Vehicle database (VHDB), 44 Failsafe control database (FSDB).

Claims (11)

車両における異常の種別および前記車両の状態に基づいて、前記車両の状態に応じて異なるフェイルセーフ制御と前記車両の使用者に対する指示とを設定する設定手段(161−170、181−187)と、
前記車両において前記フェイルセーフ制御を実行する実行手段(171)と、
前記指示を使用者に通知する通知手段(171)とを備えることを特徴とする車両用制御装置。 Setting means (161-170, 181-187) for setting different fail-safe controls and instructions for the user of the vehicle based on the type of abnormality in the vehicle and the state of the vehicle;
Execution means (171) for executing the fail-safe control in the vehicle;
A vehicle control apparatus comprising: a notification unit (171) for notifying the user of the instruction. 前記車両の状態には、前記車両の位置が含まれていることを特徴とする請求項1に記載の車両用制御装置。   The vehicle control device according to claim 1, wherein the vehicle state includes a position of the vehicle. 前記車両は、前記車両の位置を示すデータを提供するナビゲーション装置(16)を備えることを特徴とする請求項2に記載の車両用制御装置。   The vehicle control device according to claim 2, wherein the vehicle includes a navigation device (16) that provides data indicating a position of the vehicle. 前記設定手段(161−170、181−187)は、
前記車両に設けられ、前記車両の異常を検出する異常検出手段(162−164)と、
前記車両に設けられ、前記車両の状態を検出する状態検出手段(161)と、
前記車両に設けられ、前記異常の種別と、前記車両の状態とを送信する異常送信手段(165、169)と、
前記車両と通信回線を介して接続されたサービスセンタに設けられ、前記異常の種別と、前記車両の状態とを受信する異常受信手段(181、185)と、
前記サービスセンタに設けられ、複数の異常の種別と、複数の車両の状態とに関連付けて、複数のフェイルセーフ制御と複数の指示とを記録したデータベース(44)と、
前記異常受信手段によって受信された前記異常の種別と前記車両の状態とに基づいて、前記データベースを検索し、特定のフェイルセーフ制御と特定の指示とを抽出する抽出手段(186)と、
前記抽出手段により抽出された前記フェイルセーフ制御と前記指示とを前記車両に送信する制御送信手段(187)と、
前記車両に設けられ、前記フェイルセーフ制御と前記指示とを受信する制御受信手段(170)とを備えることを特徴とする請求項3に記載の車両用制御装置。 The setting means (161-170, 181-187)
An abnormality detection means (162-164) provided in the vehicle for detecting an abnormality of the vehicle;
A state detecting means (161) provided in the vehicle for detecting the state of the vehicle;
An abnormality transmitting means (165, 169) provided in the vehicle for transmitting the type of abnormality and the state of the vehicle;
An abnormality receiving means (181, 185) provided in a service center connected to the vehicle via a communication line for receiving the type of abnormality and the state of the vehicle;
A database (44) provided in the service center, which records a plurality of fail-safe controls and a plurality of instructions in association with a plurality of abnormality types and a plurality of vehicle states;
An extraction unit (186) that searches the database based on the type of abnormality received by the abnormality reception unit and the state of the vehicle, and extracts a specific fail-safe control and a specific instruction;
Control transmission means (187) for transmitting the fail-safe control and the instruction extracted by the extraction means to the vehicle;
The vehicle control device according to claim 3, further comprising control receiving means (170) provided in the vehicle for receiving the fail-safe control and the instruction. 前記実行手段は、前記車両の整備作業のために予め用意された制御コマンドによって前記フェイルセーフ制御を実行することを特徴とする請求項4に記載の車両用制御装置。   The vehicle control device according to claim 4, wherein the execution unit executes the fail-safe control by a control command prepared in advance for the maintenance work of the vehicle. 前記異常検出手段は、前記車両の整備作業のために予め用意された診断コマンドによって前記車両の異常を検出することを特徴とする請求項4または請求項5に記載の車両用制御装置。   6. The vehicle control device according to claim 4, wherein the abnormality detection unit detects an abnormality of the vehicle by a diagnostic command prepared in advance for maintenance work of the vehicle. 前記異常検出手段は、前記車両の使用者からの要請を入力する入力手段(17、19)を備えることを特徴とする請求項4から請求項6のいずれかに記載の車両用制御装置。   The vehicle control device according to any one of claims 4 to 6, wherein the abnormality detection means includes input means (17, 19) for inputting a request from a user of the vehicle. 前記状態検出手段は、前記車両に設けられたLANに流れるデータから前記車両の状態を取得することを特徴とする請求項4から請求項7のいずれかに記載の車両用制御装置。   The vehicle control device according to claim 4, wherein the state detection unit acquires the state of the vehicle from data flowing in a LAN provided in the vehicle. さらに、
前記サービスセンタに設けられ、前記車両が正規の車両であることを判定する車両判定手段(182−183)と、
前記車両に設けられ、前記サービスセンタが正規のサービスセンタであることを判定するサービスセンタ判定手段(167、168)とを備え、
正規の車両であると判定され、かつ、正規のサービスセンタであると判定された場合にのみ、前記実行手段と前記通知手段とが機能することを特徴とする請求項4から請求項8のいずれかに記載の車両用制御装置。 further,
Vehicle determination means (182-183) provided in the service center for determining that the vehicle is a regular vehicle;
Service center determination means (167, 168) provided in the vehicle for determining that the service center is a regular service center,
9. The method according to claim 4, wherein the execution unit and the notification unit function only when it is determined that the vehicle is a legitimate vehicle and is a legitimate service center. The vehicle control device according to claim 1. 前記車両判定手段(182−183)と前記サービスセンタ判定手段(167、168)とは、前記車両に搭載された盗難防止装置(12)が提供する認証機能によって提供されていることを特徴とする請求項9に記載の車両用制御装置。   The vehicle determination means (182-183) and the service center determination means (167, 168) are provided by an authentication function provided by an anti-theft device (12) mounted on the vehicle. The vehicle control device according to claim 9. さらに、前記車両の異常が検出されないとき、前記フェイルセーフ制御による前記車両に搭載された機器の駆動を制限する制限手段を備え、
前記実行手段は、前記制限手段による制限を解除して、前記フェイルセーフ制御を実行することを特徴とする請求項1から請求項10のいずれかに記載の車両用制御装置。 Further, when no abnormality of the vehicle is detected, the vehicle includes a limiting unit that limits driving of the device mounted on the vehicle by the failsafe control,
The vehicle control device according to any one of claims 1 to 10, wherein the execution unit performs the fail-safe control by releasing the limitation by the limitation unit.
JP2011084844A 2011-04-06 2011-04-06 Vehicle control apparatus Withdrawn JP2012220286A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011084844A JP2012220286A (en) 2011-04-06 2011-04-06 Vehicle control apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011084844A JP2012220286A (en) 2011-04-06 2011-04-06 Vehicle control apparatus

Publications (1)

Publication Number Publication Date
JP2012220286A true JP2012220286A (en) 2012-11-12

Family

ID=47271964

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011084844A Withdrawn JP2012220286A (en) 2011-04-06 2011-04-06 Vehicle control apparatus

Country Status (1)

Country Link
JP (1) JP2012220286A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6073003B1 (en) * 2016-06-02 2017-02-01 三菱電機株式会社 MOBILE BODY CONTROL DEVICE, MOBILE BODY CONTROL METHOD, AND MOBILE BODY CONTROL PROGRAM
JP2017166412A (en) * 2016-03-16 2017-09-21 株式会社デンソー Electronic control device
JP2018515855A (en) * 2015-05-26 2018-06-14 ウェイモ エルエルシー Fallback request for autonomous vehicles
JP2020102886A (en) * 2016-01-08 2020-07-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Fraud detection method, monitoring electronic control unit and in-vehicle network system
JPWO2019049714A1 (en) * 2017-09-11 2020-10-29 ソニー株式会社 Management device, vehicle, inspection device, vehicle inspection system and its information processing method
JP2021185503A (en) * 2015-01-20 2021-12-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Anomaly handling method and information processing device installed outside vehicle
US11947353B1 (en) 2015-05-26 2024-04-02 Waymo Llc Non-passenger requests for autonomous vehicles
US12002367B2 (en) 2022-02-08 2024-06-04 Waymo Llc Fallback requests for autonomous vehicles

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021185503A (en) * 2015-01-20 2021-12-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Anomaly handling method and information processing device installed outside vehicle
JP7146036B2 (en) 2015-01-20 2022-10-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Fraud handling method and information processing device installed outside the vehicle
US10796581B2 (en) 2015-05-26 2020-10-06 Waymo Llc Fallback requests for autonomous vehicles
KR102247380B1 (en) * 2015-05-26 2021-05-03 웨이모 엘엘씨 Fallback requests for autonomous vehicles
US11947353B1 (en) 2015-05-26 2024-04-02 Waymo Llc Non-passenger requests for autonomous vehicles
KR20190002740A (en) * 2015-05-26 2019-01-08 웨이모 엘엘씨 Fallback requests for autonomous vehicles
US10475345B2 (en) 2015-05-26 2019-11-12 Waymo Llc Fallback requests for autonomous vehicles
US11276314B2 (en) 2015-05-26 2022-03-15 Waymo Llc Fallback requests for autonomous vehicles
JP2018515855A (en) * 2015-05-26 2018-06-14 ウェイモ エルエルシー Fallback request for autonomous vehicles
JP2020102886A (en) * 2016-01-08 2020-07-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Fraud detection method, monitoring electronic control unit and in-vehicle network system
JP2017166412A (en) * 2016-03-16 2017-09-21 株式会社デンソー Electronic control device
WO2017208416A1 (en) * 2016-06-02 2017-12-07 三菱電機株式会社 Mobile unit control device, mobile unit control method, mobile unit control program
US10899361B2 (en) 2016-06-02 2021-01-26 Mitsubishi Electric Corporation Moving object controlling device, moving object controlling method, and computer readable medium
JP6073003B1 (en) * 2016-06-02 2017-02-01 三菱電機株式会社 MOBILE BODY CONTROL DEVICE, MOBILE BODY CONTROL METHOD, AND MOBILE BODY CONTROL PROGRAM
CN109153387A (en) * 2016-06-02 2019-01-04 三菱电机株式会社 Mobile member control apparatus, movable body control method and moving body control program
JPWO2019049714A1 (en) * 2017-09-11 2020-10-29 ソニー株式会社 Management device, vehicle, inspection device, vehicle inspection system and its information processing method
JP7214640B2 (en) 2017-09-11 2023-01-30 ソニーグループ株式会社 Management device, vehicle, inspection device, vehicle inspection system, and information processing method thereof
US12002367B2 (en) 2022-02-08 2024-06-04 Waymo Llc Fallback requests for autonomous vehicles

Similar Documents

Publication Publication Date Title
JP2012220286A (en) Vehicle control apparatus
KR101936891B1 (en) Method and device for generating driving behavior guidance information
JP5714131B2 (en) Vehicle diagnostic system, vehicle diagnostic method, and vehicle
JP5714133B2 (en) Vehicle diagnostic system, vehicle diagnostic method, and external diagnostic device
US10337438B2 (en) Push-button start system fault diagnosis
JP5714132B2 (en) Vehicle diagnostic system, vehicle diagnostic method, and external diagnostic device
CN102341281B (en) Abnormality detection and vehicle tracking device
CN104442393B (en) The method and apparatus being monitored for the driver to motor vehicle
TW201824145A (en) Vehicle remote control system
US7699133B2 (en) Throttle disable method and system
CN106042924A (en) Automobile mistaken tread preventing accelerator pedal control system and control method
CN105620463B (en) Vehicle control system and the method for using vehicle control system
CN108501950B (en) Vehicle power flow analysis to distinguish between internal faults and external forces
KR101673780B1 (en) Control method of breakdown diagnosis
KR20190054640A (en) A terminal and a method of collecting CAN date of vehicle using a OBD-Ⅱ
JP2011506158A (en) Automobile energy saving assistance system
WO2008038741A1 (en) Vehicle-mounted device, frequency collection device, and frequency collection method
CN105793121B (en) System and method for closing down the vehicle being illegally used
US11994855B2 (en) Method for controlling a motor vehicle remotely
CN105677532B (en) Method and device for determining whether a fault state exists in a motor vehicle
JP2011032903A (en) Control device of vehicle
CN103770745A (en) Remote vehicle operation system and vehicle mounted machine
CN109720346A (en) A kind of cruise control method and device
CN101055472A (en) Theft-and hijack-preventing system for auto
JP2013109731A (en) Vehicle controller

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20140701